3가지 핵심 SOAR 기능은 SOC 팀이 조직을 더 효과적으로 보호하도록 돕습니다. 보안 오케스트레이션, 보안 자동화 및 인시던트 응답입니다.
보안 오케스트레이션 보안 오케스트레이션은 조정 계층입니다. 기존 기술과 연결해 SIEM, 엔드포인트 탐지 및 대응(EDR), 확장된 탐지 및 대응(
XDR), ID 보호, 이메일 보안, 방화벽, 위협 인텔리전스 솔루션을 통합합니다. 이렇게 하면
위협 탐지, 조사, 대응을 중앙에서 관리할 수 있습니다.
예를 들어 SIEM 솔루션이 계정이 침해되었을 가능성을 식별하면 SOAR 솔루션은 다음을 수행할 수 있습니다.
- ID 관리 시스템에서 컨텍스트 데이터를 자동으로 수집합니다.
- 로그인 시도를 위협 인텔리전스 원본과 대조해 위험도를 평가합니다.
- 엔드포인트 보안 도구에서 사용자의 활동을 확인해 침해나 측면 이동의 징후가 있는지 살펴봅니다.
- 액세스 로그에서 최근 로그인 기록을 검색합니다.
- 관련 시스템 전반에서 대응을 조율해 위협을 차단합니다.
SOAR 솔루션이 없는 조직은 이런 각 단계를 모두 수동으로 수행해야 합니다. 오케스트레이션을 사용하면 팀은 시스템 간에 정보를 구조화된 방식으로 이동시키는 워크플로를 만들 수 있습니다.
보안 자동화 보안 자동화는 반복적이고 시간이 중요한 작업에 필요한 수작업 부담을 줄여줍니다. SOAR 솔루션 안에서 팀은 다음과 같은 특정 인시던트 유형에 대한 단계별 작업을 정리한 워크플로를 만들 수 있습니다.
- 위협 인텔리전스로 경고를 보강합니다.
- 엔드포인트 또는 ID 시스템에서 컨텍스트 데이터를 수집합니다.
- 악성 IP 주소를 차단합니다.
- 손상된 계정을 사용 중지합니다.
- 이해 관계자에게 알리고 작업 내용을 문서화합니다.
이 단계를 자동화하면 보안 팀은 특히 대량 이벤트가 발생할 때 더 빠르고 일관되게 대응할 수 있습니다.
인시던트 응답 SOAR 보안은 여러 솔루션의 데이터를 집계하고 분석하므로, 인시던트 응답을 관리할 중앙 집중식 대시보드를 제공합니다. 이렇게 하면 서로 다른 시스템의 경고를 더 쉽게 연결하고, 여러 영역에 걸친 위협을 조사할 수 있습니다.
조직은 SOAR 솔루션을 사용해 인시던트를 차단하고, 해결하고, 문서화하는 방식을 표준화하기도 합니다. 개별 분석가의 경험에만 의존하는 대신, 팀은 인시던트 대응 방법을 안내하는 미리 정의된 워크플로를 따릅니다. 이렇게 하면 더 강력한 거버넌스, 더 명확한 책임 소재, 더 예측 가능한 결과를 만들 수 있습니다.
Microsoft Security 팔로우